Etické hackování vs. testování penetrací

Tyto dva termíny jsou často považovány za podobné, mezi nimi však existuje tenká, ale zřetelná čára.

Penetrační testování je oficiální postup zaměřený na zjištění bezpečnostních chyb, chybových rizik a nespolehlivého prostředí. Jinými slovy, testování penetrace lze považovat za úspěšný, ale ne škodlivý pokus o proniknutí do konkrétního informačního systému. Ve srovnání s etickým hackováním je testování penetrace úzce zaměřenou fází. Testování penetrace je tedy určitou podskupinou etického hackování.

Obecně řečeno, organizace provádějí testy perem, aby posílily své firemní obranné systémy zahrnující všechny počítačové systémy a jejich přilehlou infrastrukturu. Je třeba poznamenat, že zatímco testování penetrace může organizacím pomoci posílit jejich obranu v oblasti kybernetické bezpečnosti, toto opatření by mělo být prováděno pravidelně, protože škodlivé subjekty objevují slabá místa v nově vznikajících systémech, programech a aplikacích. Přestože test perem nemusí poskytnout odpovědi na všechny vaše bezpečnostní obavy, takový test výrazně minimalizuje možnost úspěšného útoku.

Cílovým testem penetrace může být bílý rámeček (který poskytuje základní informace a systémové informace) nebo černý rámeček (který poskytuje pouze základní nebo žádné informace kromě názvu společnosti). Penetrační test může pomoci určit, zda je systém náchylný k útoku, zda obrany byly dostatečné a které obrany (pokud vůbec) byly testem poraženy.

Penetrační testování není nikdy náhodný podnik. Zahrnuje to spoustu plánování, což zahrnuje získání výslovného povolení od vedení k provádění testů a poté testování co nejbezpečněji.

Každá organizace, která má síť připojenou k internetu nebo poskytuje online službu, by měla zvážit její podrobení penetrační zkoušce.

Různé standardy, jako je například průmyslový standard pro údaje o platebních kartách, vyžadují, aby společnosti prováděly penetrační testování z interního i externího hlediska každoročně a po jakékoli významné změně infrastruktury nebo aplikací.

Etické hackování je na druhou stranu termín zahrnující vše, co zahrnuje všechny hackerské metody a další související metody kybernetického útoku. Role etického hackera je podobná roli penetračního testeru, ale zahrnuje širší povinnosti. Podle Evropské rady je etická hackerská definice „jednotlivec, který je obvykle zaměstnán v organizaci a kterému lze důvěřovat, že se pokusí proniknout do sítí a / nebo počítačových systémů pomocí stejných metod a technik jako škodlivý hacker. “

. Etický hacker by mohl použít všechny nebo některé z těchto strategií k proniknutí do systému:

· Prohledávání portů a hledání zranitelností. Etický hacker používá nástroje pro skenování portů, jako je Nmap nebo Nessus, pro skenování vlastních systémů a nalezení otevřených portů. Zranitelnosti jednotlivých portů lze zkoumat a je možné přijmout nápravná opatření.

· Etický hacker prozkoumá instalace záplat a zajistí, aby nemohly být zneužity.

· Etický hacker se může zapojit do konceptů sociálního inženýrství, jako je potápěčské dumpster - hrabat se v koších pomocí hesel, grafů, poznámek nebo cokoli s důležitými informacemi, které lze použít k vytvoření útoku.

· Etický hacker může také využít jiné techniky sociálního inženýrství, jako je surfování po rameni, aby získal přístup k důležitým informacím nebo zahrál laskavou kartu, aby přiměl zaměstnance, aby se rozcházeli s hesly.

· Etický hacker se pokusí vyhnout IDS (systémy detekce narušení), IPS (systémy prevence narušení), honeypoty a firewally.

· Čichání sítí, obcházení a praskání bezdrátového šifrování a únos webových serverů a webových aplikací.

· Etičtí hackeři mohou také řešit problémy související s krádeží notebooku a podvody se zaměstnanci.

Zjištění, jak dobře organizace reaguje na tyto a další taktiky, pomáhá vyzkoušet sílu bezpečnostní politiky a bezpečnostní infrastruktury. Etický hacker se pokouší o stejné typy útoků, jako by se pokusil škodlivý hacker - a pak organizacím pomohl posílit jejich obranu.

Mnoho velkých společností, například IBM, udržuje týmy zaměstnanců pro etické hackery, zatímco existuje spousta firem, které nabízejí etické hackování jako službu. Před zahájením kampaně ICO jsme provedli stejný test našeho systému a byli jsme s výsledky velmi spokojeni, i když některé aktualizace byly provedeny rychle.